我國信息安全發(fā)展現(xiàn)狀

我國信息安全發(fā)展現(xiàn)狀國家信息中心信息安全研究與服務(wù)中心吳亞非InformationSecurityResearch&ServiceInstitutionOfStateInformationCenter3/3/20231中央領(lǐng)導(dǎo)高度重視胡錦濤總書記2001年國家信息化領(lǐng)導(dǎo)小組成立會議上指出：

把信息安全放到至關(guān)重要的位置上，認(rèn)真加以考慮和解決。胡錦濤總書記近期又指出：

把握信息化發(fā)展、維護(hù)國家在網(wǎng)絡(luò)空間的安全和利益，成為信息時代的重大戰(zhàn)略課題。3/3/20232中國政府高度重視信息安全問題中央軍委副主席、國務(wù)委員兼國防部長曹剛川上午在會出席“信息安全：中國與世界”國際學(xué)術(shù)研討會的德國前總統(tǒng)赫爾佐克和外方與會代表。隨著全球信息社會的來臨，信息安全問題日益凸顯。信息安全作為“非傳統(tǒng)安全”的核心內(nèi)容，備受世界各國的關(guān)注，并成為國家安全體系中的關(guān)鍵要素。中國政府高度重視信息安全問題，認(rèn)為信息安全關(guān)系到國家未來的生存和發(fā)展。中國政府決心構(gòu)建符合中國國情的、科學(xué)合理的信息安全戰(zhàn)略，以保障中國特色的信息化健康、穩(wěn)定地發(fā)展。中國政府愿意與國際社會一道，抓住機遇，應(yīng)對挑戰(zhàn)，促進(jìn)發(fā)展，加強合作，為構(gòu)建國際信息安全體系作出應(yīng)有的貢獻(xiàn)。3/3/20233近年國家層面的主要工作完成國家信息安全頂層設(shè)計開展信息安全規(guī)劃管理體制和工作機制逐步建立基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè)取得較大進(jìn)展

3/3/20234一、完成國家信息安全頂層設(shè)計《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文件）我國第一個全面關(guān)于信息安全保障工作的文件，是我國今后一段時期內(nèi)信息安全保障工作的綱領(lǐng)性文件3/3/20235加強以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系：規(guī)范和加強以身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定等為主要內(nèi)容的的網(wǎng)絡(luò)信任體系建設(shè)3/3/20236加強信息安全保障工作-總體要求：總體要求：堅持積極防御、綜合防范的方針，全面提高信息安全防護(hù)能力，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益，維護(hù)國家安全。3/3/20237加強信息安全保障工作-主要原則主要原則：立足國情，以我為主，堅持管理與技術(shù)并重；正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)性工作；明確國家、企業(yè)、個人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系。3/3/20238加強信息安全保障工作-九項任務(wù)一、加強信息安全保障工作的總體要求和主要原則二、實行信息安全等級保護(hù)三、加強以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)四、建設(shè)和完善信息安全監(jiān)控體系五、重視信息安全應(yīng)急處理工作六、加強信息安全技術(shù)研究開發(fā)，推進(jìn)信息安全產(chǎn)業(yè)發(fā)展七、加快信息安全人才培養(yǎng)，增強全民信息安全意識八、保證信息安全資金九、加強對信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管理責(zé)任制3/3/20239國家中長期科學(xué)和技術(shù)發(fā)展規(guī)劃綱要明確未來15年信息安全技術(shù)發(fā)展重點：（1）掌握集成電路及關(guān)鍵元器件、大型軟件、高性能計算、寬帶無線移動通信、下一代網(wǎng)絡(luò)等核心技術(shù)；（2）開發(fā)網(wǎng)絡(luò)信息安全技術(shù)及相關(guān)產(chǎn)品，建立信息安全技術(shù)保障體系，具備防范各種信息安全突發(fā)事件的技術(shù)能力；（3）重點研究開發(fā)國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)中的安全保障技術(shù)，開發(fā)復(fù)雜大系統(tǒng)下的網(wǎng)絡(luò)生存、主動實時防護(hù)、安全存儲、網(wǎng)絡(luò)病毒防范、惡意攻擊防范、網(wǎng)絡(luò)信任體系與新的密碼技術(shù)等。3/3/202310《中華人民共和國國民經(jīng)濟和社會發(fā)展第十一個五年規(guī)劃綱要》積極防御、綜合防范，提高信息安全保障能力。強化安全監(jiān)控、應(yīng)急響應(yīng)、密鑰管理、網(wǎng)絡(luò)信任等信息安全基礎(chǔ)設(shè)施建設(shè)。加強基礎(chǔ)信息網(wǎng)絡(luò)和國家重要信息系統(tǒng)的安全防護(hù)。推進(jìn)信息安全產(chǎn)品產(chǎn)業(yè)化。發(fā)展咨詢、測評、災(zāi)備等專業(yè)化信息安全服務(wù)。健全安全等級保護(hù)、風(fēng)險評估和安全準(zhǔn)入制度。3/3/202311《2006－2020年國家信息化發(fā)展戰(zhàn)略》其戰(zhàn)略任務(wù)可概括為完成信息安全保障六項工作和提高信息安全保障六大能力：1．信息安全保障六項工作可概括為：（1）建立和完善信息安全等級保護(hù)制度；（2）建設(shè)以密碼為基礎(chǔ)的網(wǎng)絡(luò)信任體系；（3）建設(shè)和完善信息安全監(jiān)控體系，加強網(wǎng)絡(luò)防范，防止有害信息傳播；（4）做好信息安全應(yīng)急處置工作；（5）做好信息安全風(fēng)險評估工作，綜合平衡安全成本和風(fēng)險，確保重點，優(yōu)化信息安全資源配置；（6）促進(jìn)資源共享，加強災(zāi)難備份體系建設(shè)。3/3/202312《2006－2020年國家信息化發(fā)展戰(zhàn)略》提高信息安全保障六大能力：（1）信息安全核心產(chǎn)品和技術(shù)的自主創(chuàng)新能力；（2）信息安全人才保障能力；（3）信息安全法律保障能力；（4）信息安全基礎(chǔ)設(shè)施支撐能力；（5）網(wǎng)絡(luò)宣傳駕馭能力；（6）國際影響力。3/3/202313二、開展信息安全規(guī)劃國家發(fā)展與改革委積極布局國家“十一五”信息化發(fā)展規(guī)劃，并列專題研究了信息安全問題。《國家“十一五”科學(xué)技術(shù)發(fā)展規(guī)劃》“863”計劃根據(jù)國際信息安全技術(shù)發(fā)展態(tài)勢，結(jié)合我國信息安全技術(shù)實際應(yīng)用需求，重點支持復(fù)雜系統(tǒng)下的網(wǎng)絡(luò)生存、主動實時防護(hù)、安全存儲、網(wǎng)絡(luò)病毒防范、網(wǎng)絡(luò)信任保障等技術(shù)和系統(tǒng)的研發(fā)。3/3/202314二、開展信息安全規(guī)劃《國家自然科學(xué)基金“十一五”發(fā)展規(guī)劃》在完善學(xué)科布局和部署優(yōu)先發(fā)展領(lǐng)域方面向信息科學(xué)研究傾斜，把信息安全領(lǐng)域中的可信計算、包括量子密碼的量子調(diào)控理論和技術(shù)作為未來五年的重點支持領(lǐng)域?！缎畔a(chǎn)業(yè)科技發(fā)展“十一五”規(guī)劃和2020年中長期規(guī)劃綱要》提出使集成電路在信息安全和國防安全領(lǐng)域的自給率達(dá)到70%以上的建設(shè)目標(biāo)，并重點支持和發(fā)展密碼技術(shù)；安全處理芯片；電子認(rèn)證、責(zé)任認(rèn)定、授權(quán)管理；計算環(huán)境和終端安全處理；網(wǎng)絡(luò)和通信邊界安全；應(yīng)急響應(yīng)和災(zāi)難恢復(fù)；信息安全測評等技術(shù)和相關(guān)產(chǎn)品。3/3/202315三、管理體制和工作機制逐步建立信息安全等級保護(hù)信息安全風(fēng)險評估信息安全產(chǎn)品認(rèn)證認(rèn)可網(wǎng)絡(luò)信任體系建設(shè)3/3/202316管理體制和工作機制逐步建立

（1）信息安全等級保護(hù)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文件）

實行信息安全等級保護(hù)公安部等四部委聯(lián)合下發(fā)了《關(guān)于加強信息安全等級保護(hù)的意見》3/3/202317管理體制和工作機制逐步建立

（1）信息安全等級保護(hù)信息安全等級保護(hù)制度的主要工作內(nèi)容

信息安全等級保護(hù)是指：對國家秘密信息、法人和其他組織及公民的專有信息、公開信息分類分級進(jìn)行管理和保護(hù)；對信息系統(tǒng)按業(yè)務(wù)安全應(yīng)用域和區(qū)實行分級保護(hù)。對系統(tǒng)中使用的信息安全產(chǎn)品實行按分級許可管理。對等級系統(tǒng)的安全服務(wù)資質(zhì)分級許可管理。對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。3/3/202318信息安全等級保護(hù)管理辦法(試行)

（公通字[2006]7號）頒布單位：公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室

安全等級名稱對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的危害程度監(jiān)管方式第一級自主保護(hù)級無影響自主保護(hù)第二級指導(dǎo)保護(hù)級有一定損害政府職能部門指導(dǎo)下的自主保護(hù)第三級監(jiān)督保護(hù)級較大損害政府職能部門監(jiān)督下的嚴(yán)格保護(hù)第四級強制保護(hù)級嚴(yán)重?fù)p害政府職能部門的強制監(jiān)督和檢查下的嚴(yán)格保護(hù)第五級?？乇Ｗo(hù)級特別嚴(yán)重?fù)p害政府協(xié)助下由主管部門和使用單位實施專門控制和保護(hù)3/3/202319管理體制和工作機制逐步建立

（2）信息安全風(fēng)險評估工作《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文件）

要重視信息安全風(fēng)險評估工作，對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的風(fēng)險等因素，進(jìn)行相應(yīng)等級的安全建設(shè)和管理。3/3/202320《關(guān)于開展信息安全風(fēng)險評估工作的意見》（國信辦[2006]5號）什么是信息安全風(fēng)險評估信息安全風(fēng)險評估是從風(fēng)險管理角度，運用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在地脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護(hù)對策和整改措施。目的是：為防范和化解信息安全風(fēng)險，或者將風(fēng)險控制在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)和信息系統(tǒng)提供科學(xué)依據(jù)。3/3/202321管理體制和工作機制逐步建立

（2）信息安全風(fēng)險評估工作2006年2月國務(wù)院信息辦下發(fā)《關(guān)于開展信息安全風(fēng)險評估工作的意見》

（國信辦[2006]5號）3/3/202322《關(guān)于開展信息安全風(fēng)險評估工作的意見》（國信辦[2006]5號）風(fēng)險評估工作的形式：信息安全風(fēng)險評估分為自評估和檢查評估兩種形式。自評估是指網(wǎng)絡(luò)和信息系統(tǒng)的擁有、運營、使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險評估。自評估是信息安全風(fēng)險評估的主要形式。檢查評估是指信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法開展的信息安全風(fēng)險評估。自評估和檢查評估可以依靠自身技術(shù)力量進(jìn)行，也可委托第三方專業(yè)機構(gòu)提供技術(shù)支持。3/3/202323《關(guān)于開展信息安全風(fēng)險評估工作的意見》（國信辦[2006]5號）三個評估環(huán)節(jié)信息系統(tǒng)規(guī)劃設(shè)計階段：通過評估明確安全需求、安全目標(biāo)和安全保障措施，為項目審批提供依據(jù)。信息系統(tǒng)驗收階段：通過評估驗證已設(shè)計安裝的安全措施能否實現(xiàn)安全目標(biāo)，為項目驗收提供依據(jù)。信息系統(tǒng)運維階段：通過定期進(jìn)行的評估，檢驗安全措施的有效性及對安全環(huán)境變化的適應(yīng)性在信息系統(tǒng)使命或安全形勢發(fā)生重大發(fā)生變化時，要專門進(jìn)行評估3/3/202324管理體制和工作機制逐步建立

（3）信息安全產(chǎn)品認(rèn)證認(rèn)可認(rèn)監(jiān)委等八部委聯(lián)合發(fā)下發(fā)了《關(guān)于建立國家信息安全產(chǎn)品認(rèn)證認(rèn)可體系的通知》2005年4月19日國家信息安全產(chǎn)品認(rèn)證管理委員會成立，這標(biāo)志著我國建立統(tǒng)一的信息安全產(chǎn)品認(rèn)證認(rèn)可體系已進(jìn)入實質(zhì)性的實施階段。3/3/2023252006年11月17日，中國信息安全認(rèn)證中心在京正式成立。認(rèn)證中心為第三方公正機構(gòu)和法人實體。其主要業(yè)務(wù)是，依據(jù)國家信息安全管理的法律法規(guī)、《認(rèn)證認(rèn)可條例》及實施規(guī)則，在指定的業(yè)務(wù)范圍內(nèi)，對信息安全產(chǎn)品實施認(rèn)證，并開展與信息安全有關(guān)的管理體系認(rèn)證和人員培訓(xùn)、技術(shù)研發(fā)等工作。管理體制和工作機制逐步建立

（3）信息安全產(chǎn)品認(rèn)證認(rèn)可3/3/202326管理體制和工作機制逐步建立

（4）網(wǎng)絡(luò)信任體系建設(shè)

《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文件）

加強以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)

2006年2月國務(wù)院辦公廳下發(fā)《關(guān)于網(wǎng)絡(luò)信任體系建設(shè)若干意見的通知》（國辦發(fā)[2006]11號）。對網(wǎng)絡(luò)信任體系建設(shè)提出了總體要求。3/3/202327網(wǎng)絡(luò)信任體系是指以密碼為基礎(chǔ)、以法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和基礎(chǔ)設(shè)施為主要內(nèi)容，以解決網(wǎng)絡(luò)應(yīng)用中身份認(rèn)證、授權(quán)管理和責(zé)任認(rèn)定等為目的的完整體系。“十一五”期間，網(wǎng)絡(luò)信任體系建設(shè)將是信息安全保障工作的重點。其內(nèi)容包括：建設(shè)國家級面向社會公眾服務(wù)的電子認(rèn)證中心；建設(shè)國家電子認(rèn)證監(jiān)管平臺；支持符合電子認(rèn)證安全規(guī)范要求、具有可控性和高可靠性的安全服務(wù)平臺建設(shè)，為數(shù)據(jù)電文、電子簽名證書在國民經(jīng)濟各領(lǐng)域的應(yīng)用提供服務(wù)。管理體制和工作機制逐步建立

（4）網(wǎng)絡(luò)信任體系建設(shè)3/3/202328《若干意見》明確了信任體系建設(shè)中電子認(rèn)證工作管理的責(zé)任部門，即：“信息產(chǎn)業(yè)部要會同有關(guān)部門，加強對電子商務(wù)中電子認(rèn)證活動的指導(dǎo)和管理。國家密碼管理局要會同有關(guān)部門做好電子政務(wù)中電子認(rèn)證工作的規(guī)劃和管理”。管理體制和工作機制逐步建立

（4）網(wǎng)絡(luò)信任體系建設(shè)3/3/202329管理體制和工作機制逐步建立

（4）網(wǎng)絡(luò)信任體系建設(shè)2005年4月1日，《電子簽名法》，以及與之配套的《電子認(rèn)證服務(wù)管理辦法》正式實施，為電子商務(wù)和電子政務(wù)的網(wǎng)絡(luò)信任體系建設(shè)和第三方認(rèn)證服務(wù)創(chuàng)造了良好的法律環(huán)境目前全國已有22家電子認(rèn)證單位經(jīng)過法律的授權(quán)許可,這22家電子認(rèn)證機構(gòu)已經(jīng)頒發(fā)出了近564萬張證書，有力地支持了電子商務(wù)的發(fā)展，推動了我國網(wǎng)絡(luò)信任體系的建設(shè)3/3/202330管理體制和工作機制逐步建立

（5）信息安全應(yīng)急協(xié)調(diào)機制建設(shè)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文件）

重視信息安全應(yīng)急處理工作2004年8月成立了國家網(wǎng)絡(luò)與信息安全通報中心2005年4月,國信辦發(fā)布了《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》3/3/202331四、基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè)取得較大進(jìn)展

（1）信息安全法制取得進(jìn)步國家法律8部，國家行政法規(guī)6部，部門規(guī)章文件52部，地方政府法規(guī)24部，國務(wù)院信息化辦公室直接牽頭制定的政策性文件14部，3/3/202332四、基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè)取得較大進(jìn)展

（2）信息安全標(biāo)準(zhǔn)化工作2002年4月15日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會在北京正式成立3/3/202333委員會內(nèi)設(shè)立六個工作組，開始系統(tǒng)規(guī)劃與制定全國信息安全標(biāo)準(zhǔn)。WG1：信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組TC：可信計算標(biāo)準(zhǔn)WG2：涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)工作組WG3：密碼工作組WG4：認(rèn)證與鑒別工作組WG5：信息安全評估工作組WG7：信息安全管理（含工程與開發(fā)）工作組四、基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè)取得較大進(jìn)展

（2）信息安全標(biāo)準(zhǔn)化工作3/3/202334該標(biāo)委會的成立，標(biāo)志著我國信息安全標(biāo)準(zhǔn)化工作步入了“統(tǒng)一領(lǐng)導(dǎo)、協(xié)調(diào)發(fā)展”的新時期。它的工作任務(wù)是向國家標(biāo)準(zhǔn)化管理委員會提出本專業(yè)標(biāo)準(zhǔn)化工作的方針、政策和技術(shù)措施的建議。目前我國共發(fā)布的信息安全國家標(biāo)準(zhǔn)54項。全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會成立后，先后研究制定信息安全等級保護(hù)、鑒別與授權(quán)、信息安全管理、信息安全測評認(rèn)證等方面的國家標(biāo)準(zhǔn)33項。

四、基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè)取得較大進(jìn)展

（2）信息安全標(biāo)準(zhǔn)化工作3/3/202335四、基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè)取得較大進(jìn)展

（3）技術(shù)研究和產(chǎn)業(yè)取得重要成果《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文件）

加強信息安全技術(shù)研究開發(fā)，推進(jìn)信息安全產(chǎn)業(yè)發(fā)展國家發(fā)改委重點支持18個信息安全產(chǎn)業(yè)化項目、兩個研究中心、兩個國家信息安全基礎(chǔ)設(shè)施建設(shè)項目；國家863計劃2006年信息安全技術(shù)專題資金投入為億人民幣，2007年將增長為一億人民幣。在“十一五”期間國家863計劃預(yù)計總投入資金約5億人民幣；1999年至2006年國家在信息安全產(chǎn)品產(chǎn)業(yè)化投入的資金共計6億人民幣；截止2007年5月，有關(guān)信息安全發(fā)明專利累計232個，實用新型專利累計47個。3/3/202336四、基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè)取得較大進(jìn)展

（3）技術(shù)研究和產(chǎn)業(yè)取得重要成果2006年底，全年國內(nèi)信息安全市場銷售額達(dá)到53億元人民幣,占信息產(chǎn)業(yè)總產(chǎn)值的0.13%。2005年底，從事信息安全廠商約1300家：有自主研發(fā)能力的約390家，有自主研發(fā)產(chǎn)品的約190家，信息安全服務(wù)的約300家，產(chǎn)值超過1億人民幣的企業(yè)約20家，有國家級信息安全產(chǎn)業(yè)基地3個,非國家級4個。3/3/202337管理體制和工作機制逐步建立

（4